Day101什么是渗透测试的课件

1、什么是渗透测试2022/8/271自我介绍：1、熊耀富（piaox），从事信息安全行业7年；2、深信服高级安全咨询顾问，国家CNCERT等机构总接口人；3、百度SRC、乌云、FREEBUF在线高级白帽子；4、国家漏洞共享平台CNVD、CNNVD原创漏洞提交者。2022/8/2722022/8/273CONTENTS1234渗透测试技术与分类渗透测试与风险评估如何掌握渗透测试技能渗透须注意事项与自我保护2022/8/274渗透测试技术与分类 简而言之，渗透测试就是一种通过模拟恶意攻击者的技术与方法，对目标系统进行主动探测分析，以发现潜在的系统漏洞，包括不恰当的系统配置，已知或未知的软硬件漏洞的安

2、全测试与评估方式。渗透测试分类黑盒测试(Black-box Testing) 也称为外部测试，渗透测试团队在发起渗透测试前没有任务目标系统的相关信息(内部网络拓扑、基础设施等)。白盒测试(White-box Testing) 也称为内部测试，渗透测试团队可以了解目标系统的内部和底层知识。白盒测试的实施流程与黑盒测试类似，不同之处在无需进行目标定位与情报搜集。灰盒测试(Grey-box Testing) 两种渗透测试方法的组合，组合后能同时发挥两者的优势。2022/8/275渗透测试技术标准安全测试方法学开源手册(OSSTMM) 安全测试方法学开源手册(OSSTMM)提供物理安全、人类心理学、数

3、据网络、无线通信媒介和电讯通信五类渠道非常细致测试用例。NIST SP 800-42网络安全测试指南 美国国家标准与技术研究院发布渗透测试流程与方法，更偏向管理。OWASP 十大Web应用安全测试指南 针对目前最普遍的Web应用层，为安全测试人员提供如何识别与避免安全威胁的指南，只关注Web领域，非普适性的渗透测试方法指南。Web安全威胁分类标准 与OWASP Top Ten类似，全面给出Web领域中的漏洞、攻击与防范措施视图。PTES渗透测试执行标准 2010年发起的渗透测过程规范，核心理念是建立所要求的基本准则基线，来定义一次真正的渗透测试过程，目前得到业绩广泛认可。2022/8/276P

4、TES渗透测试过程确定攻击范围、目标、限制条件及服务合同细节社会工程学、网络踩点、扫描探测、被动监听获取攻击目标详尽信息通过团队共同的缜密情报分析，确定出最可行的攻击通道找出可被利用的漏洞、根据情况开发出必要的渗透代码利用可利用的漏洞，尝试真实入侵、获取访问控制权限。输出渗透测试报告2022/8/277CONTENTS1234渗透测试技术与分类渗透测试与风险评估如何掌握渗透测试技能渗透须注意事项与自我保护2022/8/278信息安全风险评估CISP信息安全风险管理章节2022/8/279信息安全风险概念 GB/T 20984的定义：信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆

5、弱性导致安全事件的发生及其对组织造成的影响。 信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。 信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。 信息安全风险只考虑那些对组织有负面影响的事件。2022/8/2710信息安全风险评估 信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地保障信息安全提供科学依据。 风险评估是分析确定风险的过程。

6、 风险评估的目的是控制风险。 风险评估是风险管理的起点和基础环节 风险管理是在倡导适度安全 风险分析准备：制定风险评估方案、选择评估方法 风险要素识别：发现系统存在的威胁、脆弱性和控制措施 风险分析：判断风险发生的可能性和影响的程度 风险结果判定：综合分析结果判定风险等级2022/8/2711信息安全风险评估2022/8/2712信息安全风险评估2022/8/2713信息安全风险评估国家保密局涉密信息系统安全保密测评中心涉密系统非涉密系统中国信息安全测评中心国家信息技术安全研究中心公安部信息安全等级保护中心风险评估专业队伍信息安全评估工作承担部门 等保测评、安全检查都是在既定安全基线的基础上开

7、展的符合性测评，其中等保测评是符合国家安全要求的测评，安全检查是符合行业主管安全要求的符合性测评。 而风险评估是在国家、行业安全要求的基础上，以被评估系统特定安全要求为目标而开展的风险识别、风险分析、风险评价活动。2022/8/2714CONTENTS1234渗透测试技术与分类渗透测试与风险评估如何掌握渗透测试技能渗透须注意事项与自我保护2022/8/2715掌握渗透测试技能2022/8/2716掌握渗透测试基础或或网络知识系统知识数据库知识编程语言网站知识2022/8/2717具备必要的linux知识2022/8/2718具备必要的linux知识系统接入日志: 多个程序会记录该日志，记录到/

8、var/log/wtmp和/var/run/utmp文件中，telnet、ssh等程序会更新wtmp和utmp文件，系统管理员可以根据该日志跟踪到谁在何时登录到系统。 进程统计日志: Linux内核记录该日志，当一个进程终止时，进程统计文件（pacct或acct）中会进行记录。进程统计日志可以供系统管理员分析系统使用者对系统进行的配置，以及对文件进行的操作。 错误日志: Syslog日志系统已经被许多设备兼容，Linux的syslog可以记录系统事件，主要由syslogd程序执行，Linux系统下各种进程、用户程序和内核都可以通过Syslog文件记录重要信息，错误日志记录在/var/log/m

9、essages中。有许多Linux/Unix程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。 2022/8/2719具备数据库知识2022/8/2720具备网站开发知识2022/8/2721具备网站开发知识2022/8/2722熟悉网站常见架构简单缺少灵活性（DNS缓存）D:pythonDjango-1.1.1nslookup Server: Address: 0Non-authoritative answer:Name: Addresses: 4, 12, 0, 1Aliases: 2022/8/2723熟悉网站常见架构负载均衡软件nginxHAProxyapach

10、e httpdLVS(网络第四层工作)F5(硬件，四层/七层)反向代理负载均衡2022/8/2724熟悉网站常见架构Linux Virtual Server(LVS)2022/8/2725熟悉网站常见架构img,js,css使用单独的服务器处理请求apache httpdtomcat浏览器静态资源静态资源动态请求动态请求动态请示动态请示动静态资源分离2022/8/2726熟悉网站常见架构现实网站图片存储分析图片服务器的域名不同多台机器保存相同的图片(img3,img2子域名)同一页面不同图片随机生成不同的子域名进行负载均衡2022/8/2727熟悉网站常见架构Content Delivery

11、Network2022/8/2728熟悉HTTP协议知识2022/8/2729擅于使用搜索引擎google地址:52、512022/8/2730积极利用安全社区论坛2022/8/2731积极利用安全社区论坛2022/8/2732积极利用安全社区论坛2022/8/2733积极利用安全社区论坛2022/8/2734积极利用安全社区论坛习科：2022/8/2735积极利用安全社区论坛暗组：/2022/8/2736积极利用安全社区论坛习科：http:/2022/8/2737积极利用安全社区论坛2022/8/2738CONTENTS1234渗透测试技术与分类渗透测试与风险评估如何掌握渗透测试技能渗透须注

12、意事项与自我保护2022/8/2739积极利用安全社区论坛刑法 第六章 妨碍社会管理秩序罪 第一节 扰乱公共秩序罪 第285、286、287条285条：非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪。违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严

13、重的，处三年以上七年以下有期徒刑，并处罚金。提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。2022/8/2740积极利用安全社区论坛刑法 第六章 妨碍社会管理秩序罪 第一节 扰乱公共秩序罪 第285、286、287条286条：破坏计算机信息系统罪。违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，